分层安全用于通用客户端设备(uCPE)部署的准则

分层是一种众所周知的安全策略。通过使用层,我们增加了穿透的难度并减少了出现故障带来的影响。

以下是将分层安全应用于通用客户端设备(uCPE)部署的一些准则。uCPE层包括平台层(管理、虚拟化和网络),应用层以及管理和编排(MANO)层。

uCPE由在标准操作系统上运行的软件虚拟网络功能(VNF)组成,该系统托管在标准服务器上。理想的uCPE部署应支持多厂商多组件构建,强调多层安全的需求。

平台层安全:管理

平台层为其他安全层提供基础,以下是保护平台管理所需的功能:

  • 命令行界面(CLI)必须支持基于角色的多权限接入,限制特定命令的访问
  • 阻止根操作系统在以太网端口和串行端口上登录
  • 支持基于SSH密钥的登录,以防止密码泄漏
  • 系统应具有启用/禁用帐户的能力,并在多次登录失败的情况下锁定帐户
  • 使用嵌入式云架构来最小化攻击面
  • 支持Radius和TACACS+认证选项
  • 使用工具来增强安全性:自动扫描源代码、自动扫描网络端口、应用所需的修补程序

平台层安全:虚拟化层和VNF

接下来是平台的虚拟化层,包括VNF。这里假设VNF正在虚拟机(VM)中运行,这很大程度上也适用于集装箱。

下述要求可以防止VNF逃脱,即保护VNF不受彼此影响:

  • VNF应作为虚拟机运行而不是容器,减少VNF暴露给主机的漏洞
  • VM应作为“qemu”用户(即非root用户)执行,从而限制继承权
  • 每个虚拟机应该是一个独立的Linux进程,因此虚拟机无法访问分配给另一个进程的内存
  • 应为每台虚拟机分配一个指定的CPU和RAM,以确保为系统管理保留资源
  • 应强制执行网络流量隔离,以确保网络接口混杂的VM无法通过vSwitch查看其他VNF或管理平面的流量

下述要求可防止恶意管理系统连接到管理程序:

  • 对vSwitch接口的管理访问应受到正常的用户帐户管理和认证
  • 一旦通过身份验证,平台应提供一个身份验证令牌符,该令牌符必须在所有后续API调用的“X-Auth-Token”头中提供,并指定唯一会话
  • 应将每个会话的持久性函数(如配置锁)绑定到此令牌
  • 最后,应支持VNF认证,以确认运行VNF匹配VNF映像存储的完整性,防止映像执行损坏。

平台层安全 - 网络和物理

接下来是确保网络安全的要求:

  • 平台应实现多种网络选项,包括E-LAN、E-Tree和多重安全VRF
  • 服务链段应作为vSwitch内的E-LAN服务构建。通过VLAN隔离确保云网络中租户之间的隔离
  • 对于第3层转发,平台应支持VRF实例,每个VRF实例都是唯一且隔离的转发实体,它使用独立的路由表和ARP表进行隔离
  • 应通过使用IKE连接到标准安全网关来确保管理网络的安全
  • 管理防火墙保护应分配给所有类型的物理/逻辑接口。这样做可以防止不必要的VNF数据平面接入运营商管理网络
  • 平台应广泛支持开放服务器,包括那些带RF屏蔽以限制辐射的服务器和防篡改设备,以支持安全认证,如FIPS

应用程序层安全

安全平台的重点是托管VNF以构建服务。需要确保VNF支持的服务的安全性:

  • 该平台应该在2层、3层或4层上提供基于软件的数据层流量加密
  • 平台应该针对性能进行优化,以便支持计算密集型VNF,如最佳防火墙或UTM系统
  • 应该按照上面列出的平台层管理安全性来构建VNF

MANO层安全

在MANO层提供安全性的要求包括:

  • 在客户现场实施双重认证以启用uCPE
  • 提供管理和用户通道加密
  • 支持TACACS +认证选项
  • 提供分离库存、配置和控制流量的多用户MANO,并提供基于角色的访问
  • 本地存储的密码进行强制加密

把所有结合起来

服务提供商希望通过组装基于uCPE部署模型的多厂商系统来获得云的优势。通过执行上面列出的要求,他们可以最大限度地利用这些优势,同时最大限度地减少安全威胁。

原文发布于微信公众号 - SDNLAB(SDNLAB)

原文发表时间:2018-05-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏IT大咖说

docker搭建大规模测试环境的实践

摘要 Docker是一个开源的应用容器引擎,第四范式资深测试开发工程师将从四个方面来分享关于docker搭建大规模测试环境的实践。 ? 困境 当今互联网行业发展...

3435
来自专栏程序人生

Vagrant share浅析

好吧,今天的文章只和程序有关,和人生无关。连续喝了几天大馇子粥,该上点清香逸人的咖啡了。 如果你不知道啥是虚拟机(vagrant是一款虚拟机管理软件),看到这里...

3236
来自专栏杨建荣的学习笔记

使用sysbench压力测试MySQL(一)(r11笔记第3天)

今天用了下新版本的sysbench,发现和早期版本的差别还不小,确实有不少有趣的地方,是的,我们继续测试下MySQL。 如果大家看过《高性能MyS...

3878
来自专栏圆方圆学院精选

【戴嘉乐 IPFS】(入门)基于IPFS和Ngrok构建自维护资源网关

由于一些特殊原因,ipfs.io网关在天朝无法访问,之前在外做宣讲的时候,也被很多朋友问到ipfs.io是否一直会被禁的问题,纷纷表示担忧,这边通过一个简单的D...

1271
来自专栏ytkah

快速返回朋友圈顶部 快速查看未读消息【微信5.4贴心升级】

  IOS版微信5.4发布了,安卓系统碎片化相对比较严重,相信这段时间就会泄出。新版微信增强了搜索、面对面转账等功能,首次适配ipad,还做出了一些贴心的升级,...

2885
来自专栏圆方圆学院精选

【戴嘉乐 IFPS】利用IPFS构建自己的去中心化分布式Wiki系统

IPFS全称InterPlanetary File System,中文名:星际文件系统,是一个旨在创建持久且分布式存储和共享文件的网络传输协议。

671
来自专栏VMCloud

【腾讯云的1001种玩法】在腾讯云上创建您的 SQL Server 故障转移集群(4)

在腾讯云上创建您的 SQL Cluster(3) 和在腾讯云上创建您的 SQL Cluster(2) 的两篇文章中我们准备好了 iscsi 存储,并让两台 SQ...

6530
来自专栏即时通讯技术

了解iOS消息推送一文就够:史上最全iOS Push技术详解

1)在线Push:比如QQ、微信等IM界面处于前台时,聊天消息和指令都会通过IM自建的网络长连接通道推送过来,这种Push在本文中暂且称为“在线Push”;

1263
来自专栏程序员互动联盟

【专业技术】Android如何实现推送?

存在问题: 现在各种实时推送消息不时的在我们手机通知里闪烁,而windowphone搞了那么久在加上,实时消息要求的是实时性。在我们开发中如何掌握这种实时模式呢...

4325
来自专栏云计算

OpenShift的容器镜像(第1部分):目标

本文来源于2017 EMEA (Europe, the Middle East and Africa,欧洲,中东和非洲) 红帽技术交流会议的会议记录,与会者包括...

1966

扫码关注云+社区